FR2899752A1 - Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil - Google Patents

Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil Download PDF

Info

Publication number
FR2899752A1
FR2899752A1 FR0603102A FR0603102A FR2899752A1 FR 2899752 A1 FR2899752 A1 FR 2899752A1 FR 0603102 A FR0603102 A FR 0603102A FR 0603102 A FR0603102 A FR 0603102A FR 2899752 A1 FR2899752 A1 FR 2899752A1
Authority
FR
France
Prior art keywords
equipment
frame
detachment
address
attachment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0603102A
Other languages
English (en)
Inventor
Laurent Butti
Roland Duffau
Jerome Razniewski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0603102A priority Critical patent/FR2899752A1/fr
Priority to PCT/FR2007/000448 priority patent/WO2007122305A1/fr
Publication of FR2899752A1 publication Critical patent/FR2899752A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

Un procédé de protection contre les attaques par usurpation d'identité dans un réseau sans fil. Lorsqu'un premier équipement (1) attaché à un autre équipement (5) du réseau reçoit une trame de détachement, il renvoie une trame de vérification. Le premier équipement attend alors une trame d'infirmation pendant une durée déterminée. Le premier équipement refuse de mettre fin à l'attachement en cas de réception de la trame d'infirmation pendant la durée déterminée.

Description

PROCEDE, DISPOSITIF ET PROGRAMME DE DETECTION D'USURPATION D'ADRESSE DANS
UN RESEAU SANS FIL La présente invention concerne les technologies d'accès sans fil à des réseaux de télécommunications, par exemple les réseaux de type IEEE 802.11 normalisé par II'Institute of Electrical and Electronics Engineers (IEEE). Plus particulièrement, l'invention se rapporte au piratage de réseaux sans fil par usurpation d'adresse d'un équipement, par exemple d'un point d'accès ou d'une station cliente. Pour qu'un équipement, par exemple une station cliente, puisse échanger des données avec un autre équipement d'un réseau sans fil constituant l'accès au réseau, par exemple un point d'accès, il est nécessaire d'attacher ce premier équipement, ici la station cliente, au réseau. Par exemple, les technologies de type IEEE 802.11 prévoient que l'attachement d'une station cliente à un point d'accès s'effectue en trois étapes. Tout d'abord, lors d'une étape de découverte du point d'accès, la station cliente écoute la voie radio pour rechercher des trames spécifiques appelées balises ("beacon" en anglais). Le client examine les informations contenues dans ce type de trame, par exemple le nom du réseau (ou ESSID, de l'anglais "Extended Service Set Identifier") ou des paramètres propres au réseau déployé. Le client envoie également des trames de recherche de point d'accès ("probe request" en anglais). Ces trames comprennent entre autres le nom du réseau recherché. Le ou les points d'accès concernés répondent à ces trames de recherche en renvoyant une trame de réponse à la recherche ( probe response en anglais) signalant leur présence. Le client peut alors sélectionner un point d'accès et envoyer une trame de demande d'authentification ("authentication request" en anglais). Le point d'accès renvoie une réponse d'authentification ("authentication response" en anglais) positive ou négative. Il existe deux types d'authentification, l'une en mode ouvert , où toute demande est acceptée par défaut, et l'autre en mode 2 de secret partagé , où la connaissance d'un secret est nécessaire pour s'authentifier auprès du point d'accès. Le mode ouvert est typiquement utilisé dans des réseaux ouverts, comme par exemple un réseau Hot-Spot ou un réseau ouvert d'entreprise. Le mode fermé est typiquement utilisé dans des réseaux fermés, par exemple un réseau résidentiel dans lequel l'accès au réseau est réservé à certains équipements clients. Si l'authentification a réussi, le client demande alors à s'associer auprès du point d'accès en envoyant une trame de demande d'association ("association request" en anglais). Le point d'accès renvoie une réponse d'association ("association response" en anglais) positive ou négative. Dés lors que l'association est réussie, le client peut envoyer et recevoir des données au sens courant du terme via ce point d'accès. La station cliente et le point d'accès peuvent fonctionner conformément à une machine à états à trois états pour mettre en oeuvre une telle procédure d'attachement. Le point d'accès peut bien entendu comprendre plusieurs machines à états, chacune gérant l'attachement à une station cliente, et décider d'affecter telle machine à états à telle station cliente lorsque cette dernière cherche à établir un attachement. La figure 1 montre un exemple de machine à états dans un équipement 20 connu de l'art antérieur. Les machines à états d'équipements complètement détachés l'un de l'autre se trouvent dans un état 1. Après une authentification réussie, les machines à états se trouvent dans un état 2, et ce n'est qu'après une association réussie que les machines à états passent dans un état 3. 25 Deux équipements dans un état i, allant de 1 à 3, peuvent échanger entre eux des messages ou trames de classe comprise entre 1 et i, comme illustré figure 1. Les trames de classe 3 permettent de transporter des données au sens courant du terme, par exemple des données correspondant au texte d'un courriel. 30 Pour rnettre fin à un attachement entre deux équipements, une 3 notification de dé-association ("disassociation" en anglais) et/ou une notification de dé-authentification ("de-authentication" en anglais) peuvent être transmises d'un équipement à l'autre. Les deux équipements passent de l'état 3 à l'état 2 lorsqu'une notification de dé-association est transmise d'un équipement à l'autre. Une notification de dé-authentification fait passer les équipements de l'état 2 à l'état 1, ou bien de l'état 3 à l'état 1. Avec le succès et la démocratisation des technologies d'accès sans fil, des techniques de piratage ou d'attaque sont apparues. Dans les réseaux ouverts de type IEEE 802.11, une technique de protection contre les attaques appelée PSPF (de l'anglais "Publicly Secure Packet Forwarding") a été développée afin de se prémunir contre les connexions directes entre clients. Lorsqu'une connexion directe entre clients est établie via un point d'accès, le point d'accès relaie directement des paquets sur voie radio d'une station cliente à l'autre. Un client illégitime peut établir une connexion directe avec un client légitime, soit pour l'attaquer, soit pour réaliser une connexion de type paire à paire ("peer to peer" en anglais) discrète. Dans les deux cas, il n'y a aucune raison de tolérer une telle connexion dans un réseau ouvert. La technique PSPF permet d'empêcher deux clients associés à un même point d'accès de communiquer directement entre eux, en bloquant tout relais de paquets de données émis par un client sur la partie radio vers les autres clients de la partie radio associés au même point d'accès. Cependant, la technique PSPF ne peut éviter une classe d'attaque particulière, dans laquelle un équipement attaquant usurpe complètement les caractéristiques, notamment l'adresse de couche MAC ("Medium Access Control" en anglais), d'un point d'accès légitime afin de pouvoir communiquer directement avec un client légitime. En effet, la norme IEEE 802.11 prévoit des mécanismes permettant à un point d'accès recevant des trames de données d'un client non attaché à ce point d'accès, de forcer ce même client à recommencer toute la procédure 4 d'attachement. II est donc possible pour un attaquant usurpant l'identité d'un point d'accès légitime auquel un client est associé, d'obliger ce dernier à s'associer au point d'accès illégitime. Si l'adresse IP du point d'accès illégitime est dans le même sous-réseau que l'adresse IP du client, alors le point d'accès illégitime peut attaquer le client directement. La technologie PSPF, qui bloque les relais de paquets entre clients associés à un même point d'accès, est inefficace pour lutter contre ces attaques d'un client par un point d'accès illégitime. Les figures 2 et 3 montrent deux exemples d'association d'une station ~o cliente C à un point d'accès illégitime B et à un point d'accès légitime A. Ces deux figures seront commentées simultanément. L'état dans lequel se trouve la machine à états de chaque équipement A, B, C est représenté par un chiffre entouré d'un carré. Selon les exemples représentés sur les figures 2 et 3, les équipements A, B, C sont configurés différemment et ne se conforment pas 15 exactement aux mêmes protocoles. Le client C est au départ associé avec un point d'accès légitime A. Ces deux équipements A, C ont une machine à états dans un état 3 et échangent des trames de classe 3 data_3. Le point d'accès illégitime B, dont la machine à états est dans l'état 1, n'est pas supposé échanger de telles trames avec le 20 client. Suite à la réception d'une trame de classe 3 data_3, le point d'accès B envoie au client C une notification de dé-authentification (de-auth.). Les machines à états des équipements B et C passent alors dans l'état 1, tandis que la machine à états du point d'accès légitime A reste dans l'état 3. Le client C commence alors une procédure d'attachement : les trames 25 d'attachement envoyées par le client C (probe_request, auth., association_request dans l'exemple de la figure 2, auth. et association_request seulement dans l'exemple de la figure 3) sont reçues à la fois par l'équipement A et l'équipement B. Dans l'exemple de la figure 2, les équipements A et B répondent aux 30 trames d'attachement de façon à établir chacun un nouvel attachement. Les machines à états des trois équipements A, B, C se trouvent alors à l'état 3. Toutefois, il est prévu que le point d'accès légitime A, du fait qu'il vient d'accepter une association avec un équipement déjà associé, envoie une trame de de-authentification (de-auth.). Les machines à états des équipements 5 A et C retournent alors à l'état 1. Dans l'exemple de la figure 3, les équipements A et B réagissent de façon sensiblement différente. L'équipement légitime A commence par accepter l'attachement avec le client C auquel il est déjà attaché, puis y met fin en notifiant une de-authentification. L'équipement illégitime B accepte l'authentification, mais refuse l'association. En effet, la trame de demande d'association envoyée par le client C comporte un champ de nom de réseau ESSID laissé vide. L'équipement B est configuré pour refuser une association avec un équipement émettant des trames avec un champ ESSID différent du sien. Aucun attachement n'a donc été établi, les machines à états des équipements A, B, C se retrouvent dans l'état 1. Dans les deux exemples représentés, le client C initie à nouveau un processus d'attachement au terme duquel le client C est associé à la fois à l'équipement légitime A et à l'équipement illégitime B. Les mécanismes prévus par les technologies de type IEEE 802.11 sont donc inefficaces pour empêcher l'attachement d'un point d'accès illégitime à une station cliente déjà associée à un point d'accès légitime. Le client est associé en mêrne temps au point d'accès légitime et au point d'accès illégitime. Les attaques par usurpation d'adresse de station cliente constituent un autre exemple d'attaque par usurpation d'adresse. Une station cliente illégitime peut ainsi accéder à un réseau fermé en se faisant passer pour une station cliente légitime. De la même façon que dans les exemples illustrés par les figures 2 et 3, il est possible à une station cliente illégitime de s'associer à un point d'accès d'un réseau fermé en usurpant l'identité d'une station cliente légitime à laquelle le point d'accès est associé.
De manière générale, les technologies d'accès sans fil à des réseaux 6 de télécommunications ne sont pas protégées contre un attachement d'un équipement illégitime usurpant l'identité d'un équipement légitime à un équipement tiers attaché à l'équipement légitime. La présente invention permet de remédier à cet inconvénient.
Selon un premier aspect, l'invention a pour objet un procédé de protection destiné à être mis en oeuvre dans un réseau sans fil, par un premier équipement attaché à un deuxième équipement, le procédé comprenant les étapes suivantes, suite à la réception d'une trame de détachement ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement : ~o - émettre une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement, - attendre pendant une durée déterminée une trame d'infirmation ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement, et 15 - refuser le détachement en cas de réception de la trame d'infirmation pendant la durée déterminée. En effet, si la trame de détachement reçue provient d'un troisième équipement distinct du deuxième équipement, le deuxième équipement répond à la trame de vérification par une trame d'infirmation. Le premier équipement 20 refuse alors de mettre fin à l'attachement. Le procédé permet ainsi d'empêcher un détachement initié par un équipement attaquant usurpant l'adresse du deuxième équipement, et donc à terme d'empêcher un attachement de l'équipement attaquant au premier équipement. Avantageusement, le détachement est accepté si aucune trame ayant 25 un champ d'adresse source qui comporte l'adresse du deuxième équipement n'est reçue pendant la durée déterminée. En effet, le deuxième équipement ayant effectivement émis la trame de détachement peut s'abstenir de répondre à la trame de vérification. C'est en particulier le cas pour un deuxième équipement connu de l'art antérieur. En cas de non-réponse à la trame de 7 vérification, le premier équipement accepte le détachement au terme de la durée prédéterminée. Les équipements agencés pour mettre en oeuvre le procédé selon cet aspect de l'invention sont ainsi capables de fonctionner avec des équipements connus de l'art antérieur.
Avantageusement, une alerte peut être déclenchée si une trame d'infirmation est reçue pendant la durée déterminée. En effet, une trame d'infirmation provient d'un équipement qui n'a pas émis la trame de détachement. Le premier équipement reçoit donc de deux équipements distincts des trames ayant un champ d'adresse source qui comporte la même adresse. Dit autrement, l'un de ces deux équipements usurpe l'adresse de l'équipement légitimement attaché au premier équipement. La durée déterminée est avantageusement inférieure à la seconde. L'attente commence dés l'émission de la trame de vérification et peut par exemple prendre fin seconde plus tard.
Selon un deuxième aspect, l'invention a pour objet un procédé destiné à être mis en oeuvre par un deuxième équipement attaché à un premier équipement, dans un réseau sans fil auquel accède un premier équipement. Le deuxième équipement est agencé pour émettre une trame de détachement à destination du premier équipement en vue de se détacher de ce premier équipement, et pour stocker au moins temporairement dans une mémoire des données de la trame de détachement, typiquement des valeurs de champs de la trame de détachement. Le procédé comprend, suite à la réception d'une trame de vérification ayant un champ d'adresse source qui comporte l'adresse du premier équipement, les étapes suivantes : - comparer des données de la trame de vérification, typiquement des valeurs de charnps de la trame de vérification, avec les données stockées dans la mémoire, -émettre à destination du premier équipement une trame d'infirmation en cas d'incompatibilité relevée dans la comparaison.
Ainsi, le premier équipement est en mesure de vérifier si une trame de 8 détachement émane bien de l'équipement auquel il est attaché. En effet, si la trame de détachement émane d'un troisième équipement illégitime, les données éventuellement stockées dans la mémoire ne correspondent pas à la trame de vérification. Le deuxième équipement répond à la trame de vérification par une trame d'infirmation. Le premier équipement refuse alors de mettre fin au détachement. Avantageusement, suite à la réception de la trame de vérification, le deuxième équipement émet une trame de confirmation en cas de compatibilité relevée dans la comparaison des données.
Ainsi, si la trame de détachement émane effectivement du deuxième équipement, alors une trame de confirmation est émise suite à la réception de la trame de vérification. Alternativement, le deuxième équipement peut, suite à la réception de la trame de vérification, s'abstenir de répondre si il a effectivement émis la trame de détachement en vue de mettre fin à l'attachement avec le premier équipement. Afin d'éviter de prendre une trame de détachement émise pour mettre fin à un attachement ancien pour la trame de détachement à la suite de laquelle le premier équipement a émis la trame de vérification, la mémoire peut par exemple comprendre une ou plusieurs zones mémoire, chaque zone mémoire étant dédiée à la gestion d'un attachement. Le deuxième équipement peut décider d'affecter telle zone mémoire à tel premier équipement lors d'un début d'une procédure d'attachement avec ce premier équipement. Les données stockées dans une zone mémoire dédiée à la gestion d'un attachement donné en cas d'émission d'une trame de détachement peuvent se limiter à une valeur d'une première variable binaire. Une valeur de cette première variable à 1 indique qu'une trame de détachement a été émise pour mettre fin à cet attachement. Les données de la trame de vérification peuvent également se limiter à une seconde variable binaire, une valeur à 1 de cette seconde variable indiquant qu'une trame de vérification a été reçue. Si la 9 seconde variable est à 1 et la première variable à 0, alors on relève une incompatibilité et la trame d'infirmation est émise. Alternativement, les données stockées dans la mémoire en cas d'émission d'une trame de détachement peuvent comprendre une date du détachement, ou bien encore une adresse MAC de l'équipement à destination duquel le détachement a été émis. Alternativement, la mémoire peut être régulièrement effacée. Avantageusement, lorsque le deuxième équipement émet la trame de détachement, le deuxième équipement attend la trame de vérification pendant une durée donnée. Si aucune trame de vérification n'est reçue, le deuxième équipement met fin à l'attachement. Alternativement, le deuxième équipement peut mettre fin à l'attachement aussitôt après avoir émis la trame de détachement. En effet, le premier équipement peut ne pas être agencé pour mettre en oeuvre le procédé selon le premier aspect de l'invention, de sorte qu'il s'est détaché dés la réception de la trame de détachement. Le détachement du deuxième équipement permet ainsi d'utiliser un deuxième équipement mettant en oeuvre un procédé selon le premier aspect de l'invention avec un premier équipement connu de l'art antérieur.
La norrne IEEE 802.11 existante peut par exemple être modifiée afin de permettre une implémentation pratique des procédés selon le premier ou deuxième aspect de l'invention. Deux nouvelles trames de gestion de type 802.11 peuvent être créées : une trame de vérification et une trame de réponse. La trame de réponse comprend un champ de réponse dont la valeur indique si il s'agit d'une trame de confirmation ou d'une trame d'infirmation. Par exemple, une valeur égale à 0 correspond à une infirmation et une valeur égale à 1 correspond à une confirmation. Ces nouvelles trames de gestion peuvent par exemple être identifiées respectivement grâce à des sous-types 1101 et 1111 . Les modifications à apporter aux procédés existants de configuration des équipements réseau sont donc relativement légères. 10 Selon un troisième aspect, l'invention a également pour objet un dispositif pour un premier équipement dans un réseau sans fil, comprenant : - des moyens d'émission/réception agencés pour, suite à la réception d'une trame de détachement ayant un champ d'adresse source qui comporte l'adresse d'un deuxième équipement, émettre une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement, -des moyens de temporisation pour attendre pendant une durée déterminée unie trame d'infirmation ayant un champ d'adresse source qui 10 comporte l'adresse du deuxième équipement, et - des moyens de décision agencés pour refuser de mettre fin à un attachement entre les premier et deuxième équipements en cas de réception de la trame d'infirmation pendant la durée déterminée. Ce dispositif permet de mettre en oeuvre le procédé selon le premier 15 aspect de l'invention. Ce dispositif peut faire partie du premier équipement, ou bien encore comprendre le premier équipement. Avantageusement, le dispositif comprend en outre une machine à états comprenant au moins un état de détachement, correspondant à un détachement du premier équipement au deuxième équipement, et un état 20 d'attachement, correspondant à un attachement du premier équipement au deuxième équipement. Les moyens de décision permettent de passer de l'état d'attachement à l'état de détachement si aucune trame d'infirmation n'est reçue pendant la durée déterminée. Les équipements existants peuvent en effet comprendre une machine 25 à états comprenant entre autres l'état de détachement et l'état d'attachement. Un tel équipement existant peut ainsi être modifié relativement facilement pour mettre en oeuvre le procédé selon le premier aspect de l'invention. Il suffit en effet de modifier les conditions de passage de l'état d'attachement à l'état de détachement. 11 Un tel dispositif ne constitue bien entendu qu'un exemple de mise de oeuvre de l'invention. Selon un quatrième aspect, l'invention a pour objet un dispositif pour un deuxième équipement attaché à un premier équipement dans un réseau sans fil, le deuxième équipement étant agencé pour émettre une trame de détachement à destination du premier équipement en vue de se détacher dudit premier équipement, et stocker dans une mémoire des données de ladite trame de détachement au moins temporairement, le dispositif comprenant - des moyens de comparaison pour, suite à la réception d'une trame de vérification ayant un champ d'adresse source qui comporte l'adresse du premier équipement, comparer des données de la trame de vérification aux données stockées dans ladite mémoire, - des moyens d'émission agencés pour émettre à destination du premier équipement une infirmation en cas d'incompatibilité relevée par les 15 moyens de comparaison. Ce dispositif permet de mettre en oeuvre le procédé selon le deuxième aspect de l'invention. Ce dispositif peut faire partie du deuxième équipement, ou bien encore comprendre le deuxième équipement. Ce dispositif peut avantageusement comprendre des moyens de 20 temporisation agencés pour, suite à l'émission de la trame de détachement, attendre pendant une durée donnée la trame de vérification, et des moyens de décision pour rnettre fin à l'attachement si aucune trame de vérification n'est reçue pendant la durée donnée. L'invention propose également un système pour un réseau sans fil, le 25 système comprenant au moins le premier équipement et le deuxième équipement décrits plus haut. L'invention propose aussi un programme d'ordinateur destiné à être stocké dans une mémoire d'un premier équipement dans un réseau sans fil et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur dudit 12 équipement et/ou téléchargé via un réseau de télécommunication, le programme comprenant des instructions pour exécuter les étapes du procédé selon le premier aspect de l'invention. L'invention a également pour objet un programme d'ordinateur destiné à être stocké dans une mémoire d'un deuxième équipement dans un réseau sans fil et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur dudit équipement et/ou téléchargé via un réseau de télécommunication. Le deuxième équipement est agencé pour émettre à destination d'un premier équipement auquel il est attaché une trame de détachement, et pour stocker au moins temporairement des données de la trame de détachement dans une mémoire. Le programme comprend des instructions pour exécuter les étapes du procédé selon le deuxième aspect de l'invention. D'autres particularités et avantages de la présente invention apparaîtront dans la description ci-après d'exemples de réalisation non 15 limitatifs, en référence aux dessins annexés, dans lesquels : - la figure 1 est un schéma synoptique d'une machine à états d'un équipement réseau connu de l'art antérieur; - la figure 2 montre schématiquement un exemple connu d'association d'une station cliente à un point d'accès illégitime et à un point d'accès 20 légitime; - la figure 3 montre schématiquement un autre exemple connu d'association d'une station cliente à un point d'accès illégitime et à un point d'accès légitime ; la figure 4 est un schéma synoptique d'un exemple de réseau sans fil 25 dans lequel l'invention peut être mise en oeuvre, dans un mode de réalisation préféré; - la figure 5 montre schématiquement un exemple de communications entre une station cliente, un point d'accès légitime et un point d'accès illégitime, selon le mode de réalisation préféré de l'invention ; 13 - la figure 6 est un exemple d'organigramme d'un programme exécutable par la station cliente représentée figure 4 ; - la figure 7 est un schéma synoptique d'un exemple de machine à états de la station cliente représentée figure 4 ; - les figures 8A et 8B sont des exemples d'organigrammes de programmes exécutables par un des points d'accès représentés figure 4. L'invention est décrite ci-après dans une application particulière, à savoir dans un réseau sans fil de type IEEE 802.11. Dans le mode de réalisation préféré, le réseau est de type ouvert, le 10 premier équipement comprend une station cliente et le deuxième équipement comprend un point d'accès légitime. Comme représenté figure 4, le réseau ouvert, par exemple un réseau de type Hot Spot, comprend un certain nombre de points d'accès répartis sur la zone de couverture du réseau, dont un seul est représenté figure 4, sous le 15 référence 1. Dans cet exemple, les points d'accès selon un aspect de l'invention sont reliés à un réseau de type IP 2 qui peut être l'Internet ou un Intranet. Une station cliente 5 peut accéder au réseau de type IP 2 via le point d'accès 1, en étant attachée au point d'accès 1. Pour réaliser un attachement, 20 la station cliente 5 écoute la voie radio pour rechercher des balises lors d'une étape de découverte de point d'accès. Le client 5 peut alors sélectionner un point d'accès 1 et demander à s'authentifier auprès de ce point d'accès 1. L'authentification est acceptée par défaut dans un réseau ouvert. La station cliente 5 et le point d'accès 1 comprennent chacun une machine à états dont 25 l'état passe alors d'un état de détachement, ici un état 1, à un état 2 intermédiaire. Enfin, le client 5 demande à être associé au point d'accès 5. Si ce dernier accepte, les machines à états passent à un état d'attachement, ici un état 3. La station cliente 5 et le point d'accès 1 sont alors attachés l'un à l'autre et peuvent échanger des données dites de classe 3. 30 Un troisième équipement 8 selon un aspect de l'invention, dit 14 équipement attaquant, peut usurper l'identité du point d'accès légitime 1, en particulier l'adresse MAC du point d'accès 1, et ce afin d'attaquer la station cliente 5 en établissant un attachement avec elle. Comme représenté figure 5, le client 5 et le point d'accès légitime 1 échangent des données de classe 3, par exemple une trame data_3 émise par le client 5 à destination du point d'accès 1. Cette trame data_3 a un champ d'adresse de destination qui comporte l'adresse du point d'accès 1 et est donc reçue par l'équipement illégitime 8. L'équipement illégitime 8 est agencé pour communiquer sur un réseau 10 de type IEEE 802.11 et comprend également une machine à états relativement semblable à celles des équipements légitimes 1, 5. La machine à états de l'équipement illégitime 8 se trouve alors dans l'état 1, le client 5 et l'équipement illégitime 8 détachés l'un de l'autre. Suite à la réception d'une trame de classe 3 data_3, l'équipement illégitime 8 émet une 15 trame de détachement, par exemple une trame de de-authentification, afin de faire passer la machine à états du client 5 à l'état 1. L'équipement illégitime 8 stocke dans une mémoire 7' des valeurs de champs de la trame de de-authentification, par exemple une date et une adresse de destination. Cette trame de détachement a un champ d'adresse source qui 20 comporte l'adresse usurpée du point d'accès 1 et un champ d'adresse de destination qui comporte l'adresse du client 5. Des moyens d'émission/réception, par exemple une antenne 10, du client 5 reçoiventcette trame. Avant toute dé-association, l'antenne 10 émet une trame de vérification 25 à destination du point d'accès 1. Des moyens de temporisation 11, par exemple un cornpteur, permettent d'attendre une trame de réponse de ce point d'accès pendant une durée déterminée. La trame de vérification est reçue à la fois par le point d'accès légitime 1 et par le point d'accès illégitime 8. 15 Des moyens de comparaison 6', par exemple un processeur, du point d'accès illégitirne 8 comparent la trame de vérification reçue aux données de la trame de de-authentification mémorisées dans la mémoire 7'. Ne relevant pas d'incompatibilité, le point d'accès 8 émet une trame de confirmation (confirmation_OK). Des moyens de comparaison 6, par exemple un processeur, du point d'accès légitirne 1 comparent également des données de la trame de vérification reçue à des données stockées dans une mémoire 7. Dans cet exemple, la mémoire 7 est vide du fait qu'aucune trame de détachement n'a été émise par le point d'accès depuis une minute. Les moyens de comparaison 6 concluent donc à une incompatibilité, et des moyens d'émission/réception, par exemple une antenne 3, du point d'accès 1 émettent une trame d'infirmation (confirmation_NOK). Le client 5 reçoit ainsi une trame de confirmation et une trame d'infirmation. Des moyens de décision 9, par exemple un processeur, refusent donc de mettre fin à l'attachement, c'est-à-dire ici que la machine à états du client reste à l'état 3. Le client 5 continue ainsi à échanger des données de classe 3 avec le point d'accès 1, et ne cherche pas à réinitialiser un attachement avec le point d'accès 8.
Le client 5 peut éventuellement déclencher une alarme, par exemple vers l'opérateur du réseau sans fil, afin de le prévenir de l'attaque en cours. La figure 6 est un exemple d'organigramme d'un programme exécutable par la station cliente 5. Lorsque la station cliente reçoit une trame de de-authentification (étape 61), elle émet une trame de vérification (étape 62), puis se place en attente d'une réponse pendant une durée déterminée At (étape 63) de par exemple quelques secondes. A la fin de cette durée At, il est procédé à un test (étape 64) quant au nombre de trames de réponse reçues. Si aucune trame n'a été reçue pendant la durée At, la station cliente met fin à l'attachement, c'est-à-dire que sa machine à états retourne dans l'état 1 state_1 (étape 65). Une trame de 16 réponse peut être une trame de confirmation ou une trame d'infirmation. Si une ou plusieurs trames de réponse ont été reçues, il est procédé à un autre test (étape 66), quant au nombre de trames d'infirmation parmi la ou les trames de réponse reçues. Si aucune trame d'infirmation n'a été reçue pendant la durée At, alors la station cliente met également fin à l'attachement (étape 65). Si une (ou plusieurs) trame d'infirmation a été reçue pendant la durée At, alors la station cliente déclenche une alerte (étape 68) et refuse de mettre fin à l'attachement. Dit autrement, sa machine à états reste dans l'état 3 state_3 (étape 67). ~o La station cliente accepte donc de mettre fin à l'attachement quand, suite à l'envoi de la trame de vérification : - la station cliente ne reçoit aucune trame de réponse, la station cliente reçoit une seule trame de réponse, cette trame comprenant une trame de confirmation, ou 15 - la station cliente reçoit deux trames de confirmation. Dans les trois cas ci-dessus, la demande de détachement est validée. La station cliente refuse de mettre fin à l'attachement quand, suite à l'envoi de la trame de vérification : - la station cliente reçoit une seule trame de réponse, cette trame 20 comprenant une trame d'infirmation, - la station cliente reçoit une trame de confirmation et une trame d'infirmation, ou - la station cliente reçoit deux trames d'infirmation. Dans ces trois cas, la demande de détachement est rejetée. 25 La figure 7 montre un exemple de machine à états dans une station cliente selon le mode de réalisation préféré de l'invention. Cette (machine à états diffère de l'exemple de machine à états 17 représenté figure 1 principalement de part les conditions nécessaires pour passer de l'état 3 à l'état 1 ou 2, et pour passer de l'état 2 à l'état 1. En effet, il ne suffit pas d'une notification de dé-association ou de de-authentification, comme dans l'art antérieur, mais d'une validation de la dé-association ou de la de-authentification. Si la station cliente reçoit une ou plusieurs trame(s) d'infirmation, la demande de dé-association ou de dé-authentification est rejetée ( dissociation reject ou de-authentication reject en anglais). La machine à états reste alors dans le même état.
La figure 8A est un exemple d'organigramme exécutable par l'un des points d'accès 1 ou 8 sur la figure 4. Ce point d'accès émet une trame de détachement (étape 81), ici une trame de dé-authentification, pour mettre fin à l'attachement du client 5 avec le point d'accès 1. Le point d'accès attend pendant une durée prédéterminée At' (étape 82) de par exemple quelques secondes. A la fin de cette durée At', il est procédé à un test (étape 83) quant au nombre de trames de vérification reçues. Si aucune trame de vérification n'est reçue, le point d'accès met fin à l'attachement en plaçant sa machine à états dans l'état 1 state_1 (étape 84). Si une trame de vérification est reçue, alors le point d'accès renvoie une trame de confirmation (étape 85), puis met fin à l'attachement (étape 84). Alternativement, cette étape 84 de fin d'attachement peut être effectuée directement après l'étape 81 d'émission de la trame de détachement. Les instructions pour exécuter les étapes 82, 83, 84 et 85 peuvent être programmées comme faisant suite à l'instruction pour exécuter l'étape 81 d'émission de la trame de détachement. Pour les cas où la trame de détachement émanerait d'un autre équipement que le point d'accès, le programme du point d'accès peut également prévoir un envoi d'une trame de réponse, normalement une infirmation, suite à la réception d'une trame de vérification. La figure 8B montre un exemple d'organigramme correspondant à une telle portion de programme.
18 Suite à la réception d'une trame de vérification (étape 86), le point d'accès cherche à déterminer si il a effectivement émis la trame de détachement à la suite de laquelle le client 5 a émis la trame de vérification. Le point d'accès compare à cet effet des données de la trame de vérification reçue à l'étape 86 à des données stockées dans une mémoire (étape 87). En effet, le point d'accès est configuré pour, en cas d'émission d'une trame de détachement, stocker dans cette mémoire des données de la trame de détachement. IEn cas de compatibilité, le point d'accès émet une trame de confirmation (confirmation_OK) à destination du client (étape 88), puis met fin à l'attachement (étape 90) en plaçant sa machine à états dans l'état state_1. Dans le cas contraire, le point d'accès émet une trame d'infirmation (confirmation_NOK) à destination du client (étape 89) et refuse de mettre fin à l'attachement (étape non représentée sur la figure 8B). Le procédé de la figure 8B peut par exemple être implémenté via un 15 mécanisme d'interruption en cas de réception d'une trame de vérification. Variante Le premier équipement peut comprendre un point d'accès et le deuxième équipement une station cliente, en particulier dans le cas de réseaux fermés. La présente invention permet alors de se protéger contre une station 20 cliente attaquante qui usurpe l'identité d'un client légitimement attaché à un point d'accès et qui souhaite être elle-même attachée à ce point d'accès. La station illégitime peut envoyer au point d'accès une trame de détachement. Ce dernier envoie alors une trame de vérification, à laquelle le client légitime répond par une trame d'infirmation. Le point d'accès refuse alors de mettre fin 25 à l'attachement avec le client légitime.

Claims (12)

REVENDICATIONS
1. Procédé destiné à être mis en oeuvre dans un réseau sans fil, par un premier équipement attaché à un deuxième équipement, le procédé comprenant les étapes suivantes, suite à la réception d'une trame de détachement ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement (61) : émettre une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement (62), attendre pendant une durée déterminée (At) une trame d'infirmation ayant un champ d'adresse source qui comporte l'adresse du deuxième 10 équipement (63), et refuser le détachement en cas de réception de la trame d'infirmation pendant la durée déterminée (67).
2. Procédé selon la revendication 1, comprenant en outre l'étape 15 suivante : accepter le détachement si aucune trame ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement n'est reçue pendant la durée déterminée (65). 20
3. Procédé selon l'une des revendications 1 ou 2, comprenant en outre l'étape suivante : déclencher une alerte si une trame d'infirmation est reçue pendant la durée déterminée (68). 25
4. Procédé selon l'une des revendications 1 à 3, dans lequel la durée déterminée (At) est comprise inférieure à la seconde.
5. Procédé destiné à être mis en oeuvre par un deuxième équipement attaché à un premier équipement dans un réseau sans fil, le deuxième 30 équipement étant agencé pour émettre une trame de détachement à destination du premier équipement en vue de se détacher dudit premieréquipement et stocker dans une mémoire des données de ladite trame de détachement au moins temporairement, le procédé étant caractérisé en ce qu'il comporte, suite à la réception d'une trame de vérification ayant un champ d'adresse source qui comporte l'adresse du premier équipement (86), les étapes suivantes : - comparer des données de la trame de vérification avec les données stockées dans ladite mémoire, et - émettre à destination du premier équipement une trame d'infirmation en cas d'incompatibilité relevée dans la comparaison (89).
6. Procédé selon la revendication 5, comprenant en outre les étapes préalables suivantes émettre la trame de détachement à destination du premier équipement (81), attendre pendant une durée donnée (At') la trame de vérification (82), et mettre fin à l'attachement si aucune trame de vérification n'est reçue (84).
7. Dispositif pour un premier équipement (5) dans un réseau sans fil, comprenant des moyens d'émission/réception (10) pour, suite à la réception d'une trame de détachement ayant un champ d'adresse source qui comporte l'adresse d'un deuxième équipement, émettre une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement, des moyens de temporisation (11) pour attendre pendant une durée déterminée une trame d'infirmation ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement, et des moyens de décision (9) agencés pour refuser de mettre fin à un attachement entre le premier équipement et le deuxième équipement en cas de réception d'une trame d'infirmation pendant la durée déterminée.
8. Dispositif (5) selon la revendication 7, comprenant en outre 21 une machine à états comprenant au moins un état de détachement, correspondant à un détachement du premier équipement au deuxième équipement (1), et un état d'attachement, correspondant à un attachement du premier équipement au deuxième équipement, et dans lequel les moyens de décision (9) permettent de passer de l'état d'attachement à l'état de détachement si aucune trame d'infirmation n'est reçue pendant la durée déterminée.
9. Dispositif pour un deuxième équipement (1) attaché à un premier équipement (5) dans un réseau sans fil, le deuxième équipement étant agencé pour émettre à destination du premier équipement une trame de détachement en vue de se détacher dudit premier équipement, et pour stocker au moins temporairement dans une mémoire (7) des données de ladite trame de détachement, le dispositif comprenant des moyens de comparaison (6) pour, suite à la réception d'une trame de vérification ayant un champ d'adresse source qui comporte l'adresse du premier équipement, comparer des données de la trame de vérification reçue aux données stockées dans la mémoire, des moyens d'émission (3) agencés pour émettre à destination du premier équipement une trame d'infirmation en cas d'incompatibilité relevée par les moyens de comparaison.
10. Système pour un réseau sans fil, comprenant un premier équipement (5) comprenant un dispositif selon l'une des revendications 7 ou 8, et un deuxième équipement (1) comprenant un dispositif selon la revendication 9.
11. Programme d'ordinateur destiné à être stocké dans une mémoire d'un premier équipement dans un réseau sans fil, et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur dudit équipement et/ou téléchargé 22 via un réseau de télécommunication, le programme comprenant des instructions pour exécuter les étapes suivantes suite à la réception d'une trame de détachement ayant un champ d'adresse source qui comporte l'adresse d'un deuxième équipement auquel le premier équipement est attaché : émettre une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement, attendre pendant une durée déterminée une trame d'infirmation ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement, et refuser de mettre fin à l'attachement en cas de réception de la trame d'infirmation pendant la durée déterminée.
12. Programme d'ordinateur destiné à être stocké dans une mémoire d'un deuxième équipement dans un réseau sans fil, et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur dudit deuxième équipement et/ou téléchargé via un réseau de télécommunication, le deuxième équipement étant agencé pour émettre à destination d'un premier équipement attaché au deuxième équipement une trame de détachement en vue de mettre fin audit attachement, et pour stocker au moins temporairement dans une mémoire des données de ladite trame de détachement, le programme comprenant des instructions pour exécuter, suite à la réception d'une trame de vérification ayant un champ d'adresse source qui comporte l'adresse d'un premier équipement attaché au deuxième équipement, une étape de comparaison de données de ladite trame de vérification aux données stockées dans ladite mémoire, une étape d'émission à destination du premier équipement d'une trame d'infirmation en cas d'incompatibilité relevée dans la comparaison des données.
FR0603102A 2006-04-07 2006-04-07 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil Pending FR2899752A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0603102A FR2899752A1 (fr) 2006-04-07 2006-04-07 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
PCT/FR2007/000448 WO2007122305A1 (fr) 2006-04-07 2007-03-15 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0603102A FR2899752A1 (fr) 2006-04-07 2006-04-07 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil

Publications (1)

Publication Number Publication Date
FR2899752A1 true FR2899752A1 (fr) 2007-10-12

Family

ID=37441444

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0603102A Pending FR2899752A1 (fr) 2006-04-07 2006-04-07 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil

Country Status (2)

Country Link
FR (1) FR2899752A1 (fr)
WO (1) WO2007122305A1 (fr)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050086465A1 (en) * 2003-10-16 2005-04-21 Cisco Technology, Inc. System and method for protecting network management frames

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050086465A1 (en) * 2003-10-16 2005-04-21 Cisco Technology, Inc. System and method for protecting network management frames

Also Published As

Publication number Publication date
WO2007122305A1 (fr) 2007-11-01

Similar Documents

Publication Publication Date Title
EP2721857B1 (fr) Procédé de traitement d'un paquet de données a l'émission, procédé de traitement d'un paquet de données à la réception, dispositifs et équipements de noeuds associés
WO2006035140A1 (fr) Procede, dispositif et programme de detection d'usurpation de point d'acces.
FR2844941A1 (fr) Demande d'acces securise aux ressources d'un reseau intranet
EP1965559B1 (fr) Procédé de sécurisation d'un flux de données
EP1605660A1 (fr) Procédé de contrôle d'accès à un réseau d'un terminal source utilisant un tunnel en mode bloquant, et programmes d'ordinateur pour sa mise en oeuvre
US20120185941A1 (en) Multi-Network Virus Immunization
EP2600587B1 (fr) Procédé d'authentification d'un terminal à un réseau de télécommunications
WO2007010101A2 (fr) Detection d’une intrusion par detournement de paquets de donnees dans un reseau de telecommunication
WO2006087473A1 (fr) Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
EP1905194B1 (fr) Detection de double attachement entre un reseau filaire et au moins un reseau sans-fil
EP2608590A1 (fr) Auto-configuration d'un équipement pour la connexion à un réseau sans fil sécurisé
WO2004086719A2 (fr) Systeme de transmission de donnees client/serveur securise
FR2899752A1 (fr) Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
US20150106937A1 (en) Multi-Network Virus Immunization
EP3381212B1 (fr) Technique de controle d'acces a un reseau d'acces radio
EP4066461A1 (fr) Procédé de coordination de la mitigation d'une attaque informatique, dispositif et système associés
EP3087719A1 (fr) Procédé de ralentissement d'une communication dans un réseau
EP3545384B1 (fr) Système de gestion de consommation électrique dans un appareil
EP4338375A1 (fr) Procede de defense contre une tentative de deconnexion entre deux entites, systeme associe
WO2019149679A1 (fr) Procédé d'agrégation d'une pluralité de connexions radio dans un réseau sans fil
EP4173250A1 (fr) Procédé et dispositif de détection d'une faille de sécurité
EP3815336A1 (fr) Procédés de gestion du trafic associé à un domaine client, serveur, noeud client et programme d'ordinateur correspondants
WO2006035137A1 (fr) Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique
FR2884384A1 (fr) Procede de controle de presence d'un terminal sur un point d'acces a un reseau de telephonie
FR2888432A1 (fr) Procedes de protection des trames de gestion echangees entre deux equipements sans fil, de reception et d'emission de telles trames, programmes d'ordinateur et supports de donnees contenant ces programmes d'ordinateur